Po zamieszaniu związanym z kartami zbliżeniowymi, banki przywiązują większą wagę do limitów transakcji. Dziś za pomocą skradzionej karty nie powinno być możliwe wykonanie transakcji na kwotę wyższą niż 150-250 zł. Banki przekonują, że złodziej nie da już rady wyczyścić konta.
Wokół kart zbliżeniowych narosło wiele kontrowersji i mitów. Pomińmy te związane z hakerami skanującymi karty w zatłoczonych autobusach, bo jak stwierdziła analiza KNF taki scenariusz jest mało prawdopodobny. Do dziś panuje jednak przekonanie, że za pomocą skradzionej karty zbliżeniowej można wyczyścić klientowi konto do zera i narazić go na ogromne straty. Kilka dni temu ponownie poproszono mnie o komentarz w tej sprawie na łamach telewizji śniadaniowej, bo ten temat cały czas nurtuje klientów korzystających z kart. Po części może to też wynikać z faktu, że same banki niechętnie mówią klientom o zabezpieczeniach. „Ze względów bezpieczeństwa wolimy nie mówić jak chronione są karty” – stoją na stanowisku bankowcy.
Źródło: SXC
Moim zdaniem to błąd, bo stąd biorą się kolejne wątpliwości. Całe zamieszanie z kartami powstało zresztą też po części na skutek niedopowiedzeń i plotek, a po części na skutek zaniechań ze strony samych banków. Okazało się bowiem, że nie wszystkie banki przestrzegały zaleceń organizacji płatniczych i w dowolny sposób definiowały limity w ramach kart. W rzeczywistości skradziona karta mogła więc posłużyć do wykonania nawet kilkudziesięciu transakcji zbliżeniowych pod rząd. Media nagłośniły takie przypadki, a banki mało elegancko próbowały zamieść problem pod dywan. Ostatecznie jednak uszczelniły procedury. Dziś mówią, że wyczyszczenie konta do zera przez wykonanie kilkudziesięciu transakcji zbliżeniowych jest już niemożliwe.
Niedozwolony debet i przekręcony licznik
W modelowym założeniu, karta bezstykowa nie powinna pozwolić na wykonanie więcej niż od 3 do 5 transakcji pod rząd bez podania kodu PIN. Jeśli ujmiemy to kwotowo, to jest to od 150 do 250 zł. Później karta powinna poprosić o PIN nawet wtedy, gdy klient dokonuje transakcji zbliżeniowej. Zdarzały się jednak przypadki, że banki podwyższały na własną rękę wspomniane limity. Z doniesień medialnych wynika, że ustawiano nawet licznik na 9999. Z jednej strony było to pewnie dla klienta wygodne, bo nie musiał wklepywać PIN-u, z drugiej stwarzało zagrożenie, że karta w niepowołanych rękach może zrobić spustoszenie na rachunku.
Drugim zagadnieniem, na które skarżyli się klienci, to sposób autoryzacji transakcji. Karta może łączyć się podczas płatności z bankiem (autoryzacja online) lub dokonywać autoryzacji bez sprawdzania, czy na koncie klienta są środki (autoryzacja offline). Ten drugi sposób pozwala zaoszczędzić dodatkowo kilka sekund czasu przy dokonywaniu płatności. Niestety stwarza inny rodzaj zagrożenia – klient może w ten sposób wejść na niedozwolony debet. Karta nie sprawdza bowiem, czy klient rzeczywiście ma pieniądze na koncie i pozwala realizować płatności do limitów ustalonych na chipie (czyli 3-5 transakcji, lub kwota 150-250 zł). Zdarzało się więc, że klienci bez swojej wiedzy schodzili pod kreskę, a banki naliczały im opłaty karne.
Banki: Limity są już pod kontrolą
Z sondy, którą przeprowadziłem w bankach wynika, że problemy zgłaszane przez klientów wymusiły na bankach zaostrzenie kwestii związanych z bezpieczeństwem. Dziś w większości ankietowanych instytucji, maksymalny limit kwotowy jaki można wykorzystać do realizowania transakcji bezstykowych to maksymalnie 200-250 zł. Po wykorzystaniu tego limitu karta bezwzględnie zapyta o kod PIN. Przynajmniej w teorii nie powinny być już możliwe sytuacje, w których złodziej przechwytując kartę zbliżeniową, wyczyści klientowi konto do zera. Dodatkowo banki stosują limity ilościowe – od trzech do maksymalnie 10 transakcji bez PIN (przy czym obowiązuje dodatkowo limit kwotowy do 200-250 zł). Warto pamiętać, że to od banku-wydawcy karty zależy, jakie limity stosuje w kartach zbliżeniowych.
Nie będę publikował szczegółowych informacji na temat tego, jak wygląda kwestia ustawień dla poszczególnych banków żeby nie robić ściągawki złodziejom. Podam jedynie jak to wygląda w przypadku dwóch największych banków. W PKO Banku Polskim sposób autoryzacji transakcji zbliżeniowych zależy od typu karty, jaką dokonywana jest płatność. W przypadku transakcji dokonywanych kartami MasterCard autoryzacja następuje w trybie online, co oznacza, że transakcje bezstykowe są autoryzowane do wysokości wolnych środków lub ustanowionych limitów. Z kolei transakcje zbliżeniowe dokonywane kartami Visa są dokonywane w trybie offline, co oznacza, iż nie jest weryfikowane saldo klienta w momencie dokonywania transakcji.
Zbliżeniowo do 150 zł. Później PIN
Całkowity limit dla transakcji bezstykowych offline (dot. VISA) wynosi maksymalnie 150 zł. Po przekroczeniu tych kwot następuje weryfikacja transakcji w styku z użyciem kodu PIN – po takiej operacji limit transakcji bezstykowych jest odnawiany (pod warunkiem posiadania wystarczających środków na rachunku). W ramach dodatkowych zabezpieczeń, dla wybranych losowo płatności zbliżeniowych, wymagane jest, co pewien czas, przeprowadzenie tych płatności jako stykowych z wprowadzeniem przez klienta numeru PIN.
Karty w Banku Pekao SA domyślnie są ustawione są w trybie online. Tryb offline jest dopuszczalny tylko, gdy z przyczyn technicznych nie jest możliwa autoryzacja transakcji online, a dana karta ma zdefiniowane i dostępne limity offline. Limit transakcji offline wynosi 5 transakcji, nie więcej niż 150 zł.
Tylko jeden z banków przyznał mi się, że limit kwotowy dla transakcji zbliżeniowych wynosi łącznie aż 500 zł. To niestety wciąż dużo. Jest to jednak bank spoza pierwszej dziesiątki, a jego udziały w rynku kart nie są duże. Analitycy ds. bezpieczeństwa tego banku doszli do wniosku, że to najlepszy kompromis między wygodą a bezpieczeństwem dla klientów.
MasterCard online, Visa offline
Jeśli chcielibyśmy uogólnić, to z informacji zebranych z banków wynika, że transakcje do 50 zł w kartach MasterCard autoryzowane są najczęściej online, a w kartach Visa offline. Nie jest to jednak sztywna reguła, bo banki mogą samemu ustalać jak autoryzują niskokwotowe transakcje (przypomnijmy, wszystkie powyżej 50 zł rozliczane są online). Na przykład trudno byłoby znaleźć kartę przedpłaconą, która pozwalałaby dokonywać płatności offline poniżej kwoty 50 zł. Klient mógłby wówczas wejść na niedozwolony debet, a bank nie miałby możliwości ściągnięcia zaległości.
Warto w tym miejscu przypomnieć jeszcze, że zamieszanie wokół kart zbliżeniowych skłoniło Radę ds. Systemu Płatniczego działającą przy NBP do przeanalizowania tematu bezpieczeństwa kart, a to skutkowało wydaniem specjalnej rekomendacji. Rada zaleciła bankom, by ograniczyły odpowiedzialność klienta za nieuprawnione transakcje dokonane skradzioną lub zgubioną kartą do kwoty 50 euro (około 200 zł). Przy transakcjach chipowych limit ten wynosi 150 euro. Dodatkowo banki powinny dać klientom wybór czy chcą korzystać z technologii zbliżeniowej, czy nie. Klient, który nie chce płacić zbliżeniowo, powinien dostać od banku inną kartę lub bank powinien wyłączyć moduł zbliżeniowy w obecnie używanej. Jeśli nie byłoby jednak takiej możliwości, odpowiedzialność klienta za nieuprawnione transakcje zbliżeniowe powinna zostać całkiem zniesiona.
Klient odpowiada za transakcje do 200 zł
Banki dostosowały się już do wymagań Rady ds. Systemu Płatniczego. Oznacza to, że posiadacz karty ponosi odpowiedzialność za nieuprawnione transakcje zbliżeniowe dokonane kartą przed jej zastrzeżeniem do kwoty około 200 zł. Każda kolejna transakcja nie powinna go już obchodzić, bo odpowiedzialność spada w tej sytuacji na bank. Dla porównania jeśli zgubimy kartę umożliwiającą dokonywanie transakcji w internecie i złodziej zdąży taką transakcję przeprowadzić – na przykład wykona szybkie zakupy aplikacją mobilną na zagranicznym portalu – odpowiadamy za nieuprawnione transakcje do kwoty aż 150 euro czyli około 600 zł. Warto jeszcze w tym kontekście wspomnieć o gotówce – jeśli złodziej skradnie nam portfel, tracimy wszystko.
Nie oznacza to jednak, że nie musimy pilnować kart zbliżeniowych. Co prawda odpowiadamy tylko do 200 zł, ale jak donoszą czytelnicy, problemem pozostaje wciąż sposób rozpatrywania reklamacji. Zanim bank wypłaci pieniądze, mogą minąć tygodnie. Warto też monitorować historię transakcji na rachunku nawet już po zastrzeżeniu zgubionej karty. Przekonał się o tym jeden z naszych czytelników. Więcej na ten temat już jutro w PRNews.pl